移行の問題のトラブルシューティング

Cisco Secure Firewall 移行ツールのトラブルシューティング

移行が失敗するのは、通常、 ASA 構成ファイルをアップロードしているとき、または移行された構成を Management Center にプッシュしているときです。

移行プロセスが失敗する一般的なシナリオは次のとおりです。

  • ASA 構成ファイル内の文字が不明または無効

  • ASA 構成ファイル内の要素が不完全または欠落

  • ネットワーク接続の喪失または遅延

Cisco Secure Firewall 移行ツールのサポートバンドル

Cisco Secure Firewall 移行ツールには、サポートバンドルをダウンロードして、ログファイル、DB、構成ファイルなどの役立つトラブルシューティング情報を抽出するオプションがあります。次の手順を実行します。

  1. [移行完了(Complete Migration)] 画面で、[サポート(Support)] ボタンをクリックします。

    ヘルプサポートページが表示されます。

  2. [サポートバンドル(Support Bundle)] チェックボックスをオンにして、ダウンロードする構成ファイルを選択します。


    (注)  


    ログファイルと DB ファイルは、デフォルトでダウンロード用に選択されています。
  3. [ダウンロード(Download)] をクリックします。

    サポートバンドルファイルは、ローカルパスに .zip としてダウンロードされます。Zip フォルダを抽出して、ログファイル、DB、および構成ファイルを表示します。

  4. [Email us] をクリックして、テクニカルチームに障害の詳細を電子メールで送信します。

    ダウンロードしたサポートファイルを電子メールに添付することもできます。

  5. [TAC ページに移動(Visit TAC page)] をクリックして、シスコのサポートページで TAC ケースを作成します。


    (注)  


    TAC ケースは、移行中にいつでもサポートページからオープンできます。

トラブルシューティングに使用されるログおよびその他のファイル

問題の特定とトラブルシューティングに役立つ情報は、次のファイルにあります。

ファイル ロケーション

ログ ファイル

<migration_tool_folder>\logs

移行前のレポート

<migration_tool_folder>\resources

移行後のレポート

<migration_tool_folder>\resources

未解析ファイル

<migration_tool_folder>\resources

telemetry_sessionid_timestamp.json

<migration_tool_folder>\resources\telemetry_data

ASA ファイルのアップロード失敗のトラブルシューティング

ASA 構成ファイルのアップロードに失敗した場合、通常は Cisco Secure Firewall 移行ツールがファイル内の 1 つ以上の行を解析できなかったことが原因です。

アップロードおよび解析の失敗の原因となったエラーに関する情報は、次の場所で確認できます。

  • Cisco Secure Firewall 移行ツールによって表示されるエラーメッセージ:失敗の原因の概要を示します。

  • ログファイル:「error」という単語を検索して、失敗の理由を表示します。

ASA のトラブルシューティング例:オブジェクトグループのメンバーが見つからない

この例では、パーサーがオブジェクトグループのメンバーの 1 つを検出できなかったため、ASA 構成ファイルのアップロードと解析が失敗しました。

手順


ステップ 1

エラーメッセージを確認して問題を特定します。

このエラーにより、次のエラーメッセージが生成されます。

参照先 エラー メッセージ

移行ツールのメッセージ

該当なし

移行前レポートの [Configuration Lines with Errors] セクション

Line#2[ERROR] group-object GROUP1

Line#3[ERROR] group-object GROUP2

Line#1[ERROR] object-group network NOV-SERVERS

ログ ファイル

[INFO | object_group_mode.py:9491 > Parsing object-group network: [NOV-SERVERS]

[ERROR | object_group_mode.py:1048 ] [GROUP1] group not found when creating object-group network [NOV-SERVERS]

[ERROR | object_group_mode.py:1049 ] no row was found for one()

[ERROR | object_group_mode.py:1048 ] [GROUP2] group not found when creating object-group network [NOV-SERVERS]

[ERROR | object_group_mode.py:1049 ] no row was found for one()

ステップ 2

ASA 構成ファイルを開き、次の手順を実行します。

  1. 名前でオブジェクトグループを検索します:NOV-SERVERS

    ASA 構成ファイルに、NOV-SERVERS に関する次の行が表示されます。

    object-group network NOV-SERVERS
       group-object GROUP1
       group-object GROUP2
    
  2. グループの各メンバーを検索して、ASA 構成ファイルに含まれていないメンバーを特定します。

ステップ 3

エラーを解決するには、送信元 ASA デバイスで ASDM を使用して次の手順を実行します。

  1. オブジェクトグループの欠落しているメンバーを作成します。

  2. 構成ファイルをエクスポートします。

ステップ 4

これ以上エラーがない場合は、新しい ASA 構成ファイルを Cisco Secure Firewall 移行ツールにアップロードし、移行を続行します。


ASA のトラブルシューティング例:範囲外のリストインデックス

この例では、Cisco Secure Firewall 移行ツールがサポートしていない要素の構成にエラーがあるため、ASA 構成ファイルのアップロードと解析が失敗します。

手順


ステップ 1

エラーメッセージを確認して問題を特定します。

このエラーにより、次のエラーメッセージが生成されます。

参照先 エラー メッセージ

移行ツールのメッセージ

範囲外のリストインデックス

移行前レポートの [Configuration Lines with Errors] セクション

該当なし

ログ ファイル

[ERROR | asa_config_upload.py:119] > list index out of range

ステップ 2

未解析ファイルを開き、一番下までスクロールして、正常に解析された ASA 構成ファイルの最終行を特定します。

この例では、未解析ファイルの最終行は次のとおりです。

Line#345 [SKIPPED] address 209.165.200.224 255.255.255.224

ステップ 3

ASA 構成ファイルを開き、次の手順を実行します。

  1. address 209.165.200.224 255.255.255.224 を検索します。

    これに続く行には、問題の原因となった構成要素が含まれています。

  2. その行を確認して、移行が失敗する原因を特定します。

    この例では、Cisco Secure Firewall 移行ツールが解析を停止した行は name www.example.s3.amazonaws.com です。これが、ASA 構成ファイル内で、未解析ファイルの最終行の内容の直後にある行です。この行の問題を特定できない場合は、Release Notes for the Secure Firewall Migration Tool で「Known Issues」セクションを参照して、リリースの既知の問題のいずれかが発生しているかどうかを確認することをお勧めします。